【www.rjdtv.com--计算机应用技术论文】

　　1 引言
　　
　　目前信息安全形势日益严峻，特别是国有大型企业，信息安全水平急需提升。 2015 年初， 湖南省电力公司组织召开信息安全电视电话会议， 会上相关技术人员对存在信息安全漏洞的服务器、网络设备、桌面终端设备进行了实战攻防演练， 展示了针对系统漏洞实现系统控制权限提升，资料窃取，木马植入等攻击手段与效果，通过本次会议，充分反映出公司信息系统漏洞整改的重要性、迫切性。
　　
　　通过使用多种漏洞扫描工具对所有信息设备进行安全扫描，通过分析扫描结果发现，服务器、交换机等主机设备，漏洞数量较少，一次整改到位就能避免相同漏洞的再次出现。 漏洞问题主要集中在桌面终端，桌面终端的漏洞种类繁多、重复率高，加之桌面终端点多面广，一时难以整改到位。 如何从技术上消除桌面终端的安全漏洞，降低信息安全风险，防止信息安全事件发生，是一个迫切需要解决的问题。
　　
　　2 桌面终端漏洞的现状及要求
　　
　　通过使用专业的信息安全漏扫工具扫描， 针对桌面终端漏洞扫描结果进行分析、整合，发现桌面终端漏洞种类繁多且重复率高，涉及终端面非常广泛，多种操作系统均存在信息安全风险， 归纳后主要的告警提示有以下几类： 微软公司发布的系统漏洞， 其中有大量可被恶意攻击、控制的缺陷存在。 部分操作系统自带开启的一些默认服务、端口，而这些服务、端口存在着安全隐患；系统的某些服务使用了默认配置，这可被恶意尝试进行攻击。 终端用户自己安装的一些软件， 存在着被篡改或远程提权的风险等。
　　
　　面对如此复杂的工作项目， 攻关小组讨论得出以下要求：根据桌面终端漏洞的重复率高，即多个终端可能存在同一个漏洞的情况， 应研究出普遍问题对应的处理方法，做好记录避免重复研究，同时可进行动态管理。 根据桌面终端漏洞多样性，应该采用多种技术手段进行处理，可以同时考虑强制系统补丁安装、系统防火墙开启、针对Windows 系统注册表加固三个方面，实现漏洞处理。 根据桌面终端漏容易复发，即处理完毕后，由于用户操作不当或重装系统后安全加固不完善等原因， 导致再次发生漏洞的情况。 安全加固应具备强制性，开机自动运行，不易修改等特点。 根据桌面终端点多面广的情况，应采用统一的安全策略管理模式，可在控制端统一推送并进行强制、静默安装或配置。 为方便日后运行维护以及管理，必须有手段可查询安全策略的下发和运行情况， 以及是否产生效果。
　　
　　3 技术路线与实施
　　
　　3.1 技术路线
　　
　　通过对现有平台的摸底、研究，结合实施方案的指导要求， 决定利用 360 防病毒控制平台以及桌面管控的文件下发功能， 搭配多方面的技术手段共同完成漏洞的处理，有如下优势：充分利用现有平台、资源避免重复部署，减少资金投入和人员工作量，提高效率；实现文件管理与脚本、漏洞研究的分离，有利于版本更新，可进行动态管理漏洞问题；双管齐下的搭配协作，实施效果更佳。 将需要下发的文件添加到 360 企业版中的信任列表中， 防止由于防护软件造成的下发文件失效等问题。
　　
　　根据扫描结果漏洞的类型， 可通过如下技术手段得以消除风险：
　　
　　（1）技术 1---强制更新补丁。 之前采用的 WSUS 补丁更新系统， 由于需要用户手动点击更新补丁， 补丁安装才会运行， 这样导致系统补丁安装率一直很难达到100%,本文利用 360 企业版的统一管理平台 ,充分挖掘补丁修复模块功能， 将补丁文件从互联网中下载并移植至内网环境中，配置下发与执行策略，强制各桌面终端及时安装新的系统补丁文件， 提升信息内网桌面终端系统补丁安装率。
　　
　　（2）技术 2---启用防火墙。通过桌面管控软件，强制推送防火墙开启策略脚本。 在启用 Windows 操作系统自带的防火墙后，可进行基于网络端口层的安全防护。 通过桌面管控系统的策略版本变更， 实现动态调整防火墙安全策略，降低了桌面终端信息安全风险。
　　
　　（3）技术 3---系统加固。采用修改注册表的方式，实现对系统的安全加固。 安全加固脚本同样通过桌面管控程序强制推送与执行。 通过桌面管控系统的策略版本变更，实现动态调整注册表加固策略。
　　
　　（4）技术 4---同步编制回退脚本程序。考虑到，随着安全加固脚本不断升级， 可能会有部分终端在系统安全加固、启用防火墙后，出现系统异常、相关业务应用无法正常使用等现象。 由此根据每次更新的加固脚本，必须同步编制相应的还原策略，其还原流程如图 1 所示。
　　
　　（5）技术 5---系统补丁 、加固脚本推送 、运行与监管。 本文采用 360 企业版强制推送与安装操作系统补丁。
　　
　　防火墙脚本、 注册表加固脚本通过桌面管控强制下发与执行，但在 360 企业版中必须开启相关脚本运行权限，保证脚本运行正常。 通过 360 企业版控制中心实时查看补丁推送安装情况， 可以通过桌面管控程序实时查看安全脚本下发及运行情况。 这样确保了系统补丁、安全脚本的强制执行以及实时监控，其流程如图 2 所示。
　　
　　3.2 技术实施
　　
　　3.2.1 补丁更新
　　
　　利用 360 企业版提供的离线补丁下载工具， 下载系统补丁并使用移动存储介质转移至内网环境中， 进行补丁更新。
　　
　　通过 360 控制中心，配置安全策略，强制所有联网终端自行进行系统补丁更新， 同时通过监控中心可检测到补丁更新的进展情况； 对于部分客户端自行反馈的漏洞项，可下发命令强制更新。 而离线终端在联网后，自动接收服务器的下发的各种命令，并执行。
　　
　　3.2.2 开启防火墙
　　
　　由于防火墙可屏蔽非例外端口， 所以首先需要调研需要开放的端口，如：防病毒/补丁更新端口，桌面管控端口，远程桌面端口，防违规外联端口等。
　　
　　通过编写脚本命令，将例外端口添加至防火墙例外；同时根据扫描结果，可添加一些屏蔽的端口（即使已存在终端例外，通过添加相反的端口权限模式，可使其失效）。
　　
　　通过桌面管控程序配置策略下发并执行， 通过更新文件实现动态管理目的。
　　 　　
　　3.2.3 系统加固
　　
　　根据扫描结果， 排查出更改注册表项/键值即可实现的安全加固项目，如：SMB 相关漏洞、远程桌面相关缺陷等，编写对应的命令并单独成为一个脚本文件，通过管控程序下发及执行，策略配置类似防火墙脚本程序。 策略下发方式与防火墙策略下发一致。
　　 　　
　　3.2.4 开启 360 指定脚本允许执行功能
　　
　　由于上述的脚本文件都更改了系统的配置， 在安装了 360 安全卫士的情况， 默认情况下会拦截此类非信任程序的更改，导致下发文件失效。 所以需要将管控程序进程文件、脚本文件等通过 360 控制中心添加至信任列表。
　　
　　3.2.5 策略运行监控
　　
　　本文采用 360 企业版控制中心实时查看补丁推送安装情况，如图 3 所示。
　　
　　采用桌面管控系统的审计报警功能实时查看安全脚本推送及执行情况，如图 4 所示。
　　
　　通过上述系统的查询功能， 准确定位隐患终端的 IP地址、使用人以及操作系统详细信息，从而提高终端隐患处理效率。
　　
　　4 效果评估与改进
　　
　　借助上述相关措施的有力实施， 多次的信息安全督察中终端安全漏洞个数为 0,取得了良好的成效。
　　
　　通过对桌面终端安全策略执行情况的日管控、 周扫描、月通报，桌面终端漏洞数量急剧减少，从最初扫描的2830 个高、中危漏洞降至 0 个。
　　
　　定期更新漏洞扫描系统的漏洞库， 每月开展漏洞扫描工作。 针对新发现的漏洞，做好对应安全脚本的编写、测试、下发工作，确保桌面终端漏洞数保持为 0.
　　
　　5 结束语
　　
　　通过对扫描结果的分析、整合及研究，并进行了大量的测试， 确立了消除漏洞的主要三种技术手段： 安装补丁、开启系统自带防火墙、进行系统安全加固，并结合桌面管控系统的文件下发、防病毒系统强制安装补丁功能，加之管理手段的协助， 在漏洞整改工作中取得了非常显著的成绩。
　　
　　参考文献：
　　
　　[1] 宋雁辉。windows 防火墙与网络封包截获技术 [M].北京：电子工业出版社，2002;
　　
　　[2] 潘爱民。windows 内核原理与实现[M].北京：电子工业出版社。2013.
　　
　　[3] Litchfield D,Anley C,Heasman J,et al. 黑客大曝光-数据库安全防护[M].北京：清华大学出版社，2009

本文来源：http://www.rjdtv.com/jisuanjilunwen/2217.html